Le norme su privacy e sicurezza in Sanità: tutto ciò che c’è da sapere

Il Garante per la protezione dei dati personali negli ultimi anni è intervenuto più volte al fine di fornire indicazioni utili in relazione ai trattamenti di dati nell’ambito del settore sanitario, affinché quest’ultimi avvengano nel rispetto della vigente normativa. Il crescente processo di digitalizzazione che caratterizza questo settore impone, infatti, alle strutture sanitarie di tenere in debita considerazione gli aspetti legati al trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale dei pazienti trattati con strumenti informatici e digitali, oltre che le misure di sicurezza da adottare.

In primis, occorre rilevare che i principali obblighi in materia di sicurezza, applicabili a tutti i trattamenti incluso il mondo sanitario, sono contenuti all’interno del Codice privacy, che distingue tra misure idonee e misure minime. Nel caso specifico di dati attinenti la sfera sanitaria, il legislatore dispone che debbano essere adottate tecniche quali la cifratura, l’utilizzo di codici identificativi o comunque soluzioni che permettano di identificare gli interessati solo in caso di necessità. Ad ogni modo, le previsioni generali contenute all’interno del Codice privacy sono destinate ad essere sostituite dal nuovo Regolamento in tema di protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016. Esso contiene alcune disposizioni che interessano anche l’ambito sanitario, come ad esempio quelle relative al trattamento di categorie particolari di dati personali (tra i quali rientrano i dati genetici e quelli relativi alla salute), al data breach o alla nuova figura del Data Protection Officer .

Come sopra accennato, il Garante privacy ha sentito più volte la necessità di fornire un quadro unitario di riferimento per il corretto trattamento dei dati raccolti in ambito sanitario.

Con le recenti Linee Guida in tema di Dossier Sanitario del 4 giugno 2015 il Garante ha prescritto alle strutture sanitarie di comunicare all’Autorità le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali trattati tramite il dossier sanitario. Inoltre, ha auspicato che i titolari del trattamento individuino una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante, anche in relazione ai possibili casi di data breach.

Le linee guida suggeriscono inoltre specifiche misure di misure di sicurezza considerata la delicata natura dei dati e dei trattamenti sottostanti. In particolare, il titolare del trattamento deve: adottare idonei sistemi di autenticazione e di autorizzazione volti a garantire un accesso selettivo al dossier sanitario fondato sul principio di indispensabilità del dato trattato; realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute, incluse le operazioni di consultazione (inquiry); mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (Alert); separare e cifrare i dati.

In tema di Fascicolo Sanitario Elettronico, oltre alle Linee Guida emanate dal Garante il 16 luglio 2009, occorre altresì riferirsi al D.P.C.M. 178/2015. Esso, in particolare, fornisce le regole guida per l’attuazione e l’interoperabilità del FSE tra le Regioni.

Come per il Dossier Sanitario, anche in tema di Fascicolo Sanitario Elettronico si pone la necessità di adottare misure di sicurezza che tutelino l’integrità dei dati contro i rischi di accesso abusivo o smarrimento. Da ultimo occorre ricordare che il Garante, con le Linee guida emanate il 19 novembre 2009, è intervenuto anche in tema di referti on line , ovvero la relazione scritta rilasciata in modalità informatica al paziente dal medico, dopo un esame clinico o strumentale.

In particolare, il Garante ha stabilito che l’interessato può ricevere il referto attraverso la propria casella di posta elettronica o collegandosi al sito Internet della struttura sanitaria. In tale ultima ipotesi egli sarà tenuto ad inserire il nome utente e la password ricevuti all’atto della prenotazione o dell’effettuazione dell’esame.

L’evoluzione tecnologica nel mondo sanitario rappresenta per le strutture sanitario un’occasione per implementare un sistema di gestione e di controllo dei dati che sia compliance con la normativa italiana ed europea.

Gli appuntamenti dell’Academy di FORUM PA 2016 da non perdere:

• Alle ore 16.00 “Acquisti ICT. Criticità nei contratti per servizi informatici in ambito sanitario”
• Alle ore 17.00 “Privacy e sicurezza in ambito Sanitario”